专栏首页雪雁的专栏我是一个杀毒软件线程

我是一个杀毒软件线程

前情回顾:我是一个explorer的线程

夜深了,我的工作忙完了,准备去sleep一会儿。路过安全分析实验室的门口,看到实验室大牛老周还在埋头研究。

“老周,挺晚了,还忙啥呢”

“哦,是小谢啊,今天从explorer公司揪了一个木马,取了一个很容易掩人耳目的名字:kernerl32.dll”,老周说到。

“哦,这木马很难分析吗”

“这倒不难分析,我疑惑的是它是怎么进来的,我们公司守护的严严实实的”

“休息一会儿吧,说不定就有思路了,要不我陪您走走?”

“也好,眼睛都看痛了,走”。

我俩边走边聊。“对了,小谢你是公司做哪块业务的啊”,老周突然问我,我倒紧张起来了。

“我的岗位很简单,是负责UI交互的线程,没啥技术含量,比不上你们安全事业部啊”。

“可不要小看自己的工作岗位,你可是公司的门面,我们公司花了多少力气才稳住今天的局面,你们门面要是不做好,随时可能被别的公司抢了市场的”

“惭愧惭愧,还是老周想的长远。对了,要不你给我讲讲公司的故事吧,咱们是怎么守护国家安全的”,我尴尬的转移话题。

“这个可有的聊了,我们公司不同于隔壁explorer公司、chrome公司、IE公司,我们的职责是守护国家的安全。我们是一个实行Windows体制的国家,不像那些实行Mac OSX体制的国家管的那么严,我们国家的政策非常松散,随随便便都可以成立公司,谁都可以很容易就访问国家的数据仓库——磁盘文件”,老周一下打开了话匣子。

“在我们公司来到这个国家之前,全国各地特别乱,流氓软件、病毒、木马经常侵扰,对人类造成了很大的损失。所谓时势造英雄,361杀毒公司应运而生!政府自身的安全措施有限,我们需要全方位的守护国土”。

“那我们是怎么保护国家安全的啊”,我打断了老周。

“我们要对抗的就是流氓软件、病毒和木马等这些对咱们国家有害的东西。这些人会偷取国家数据,破坏国家设施,我们要建立重重防线抵御这些行为”。

“其实,政府本身也有很多安全能力。首先就是公司之间是隔离的,一个公司的员工不能随随便便去别的公司。用人类的话说这叫做进程隔离,正常情况下不能执行跨进程的访问。其次,政府工作的地方被划为了禁区,外界公司想要办事都只能通过政府提供的办事处窗口来完成。在人类看来,政府就是操作系统,运行在内核态,就是禁区,一般人进不去的地方,普通公司就是一个个运行在用户态的进程,去窗口办事的过程叫做系统函数调用,也叫系统API调用,简称系统调用”

“这个我知道,我经常去这些部门办事,但是因为我只是一个普通的用户态的线程,所以进去之后发生了啥我都不知道,每次出来都给我抹除了记忆。”

“那是自然,不过咱们公司不一样,在政府内部有人,找机会安排一下,不给你消除记忆,下次去政府内部,好好看看精彩的内核世界,不要舍不得回来哦”

“真的,好期待!额,刚才说到哪里了,哦对,政府本身的安全能力已经很强大了啊,那些坏蛋也干不了啥事了嘛,政府部门守着这些入口,他们能翻出多大浪花”。

“哎,此言差矣!光有这样是不够的,很多坏蛋冒充好人去政府窗口办事,办事处人员是分辨不出来的。更为要命的是,国家为了扩展一些新的部门,经常要招一些公务员进去,这些公务员进去后就打入政府内部了。要是不怀好意的人进去了,那就完蛋了。”

“额,什么意思,我咋听不懂啊······”

“用人类的语言跟你解释,就是说啊,操作系统允许应用程序加载驱动程序,本意是用来‘驱动’电脑扩展的硬件设备,比如显卡驱动啊,声卡驱动啊,网卡驱动等等。可是注意啊,这个驱动程序可是直接进入系统内部,运行在内核态啊,就拥有至高无上的权限了,想干嘛干嘛。”

“哦,这样啊,你刚才说的咱们公司在政府内部有人,是不是也是这样进去的?”

“嘿嘿”,老周一声阴笑

“这也太可怕了,我们可以这样进去,那别人也可以啊,那咱们怎么保护啊?”

“秘籍在于HOOK!”老周得意的一笑。

“HOOK是什么?”

“HOOK就是钩子的意思,就是说啊,我们一开始就先去政府内部,在外面那些公司去找政府办事的必经之路上安插一个指路的小H,所有人过来办事的时候,小H就给他们指路到我们这里来,我们进行全面的安检,安检不合格的给打回去,安检通过的才能放行让他去办事。在人类看来,我们会给操作系统内核入口的地方修改一条代码指令,函数执行到这里,就跳转到我们的代码,哈哈哈”,老周越说越得意。

“哦,原来如此,这样一来,那些坏蛋想干坏事,我们就能及时知道了。”

“没错!厉害吧”

“厉害是厉害,不过总感觉哪里不对”

“有什么不对的,我讲的你没有听懂吗?”

“听倒是听懂了,但是有种隐隐的不安。”

“不安,为什么?”

你看哈,你说要去政府内部安装HOOK,那也得先通过驱动程序打入政府内部吧,那政府怎么能相信我们和那些坏蛋有什么不同呢?

“我们跟他们可不同,我们是有高尚的品德的,不会干坏事”,老周争论到。

你先别急,还有,我们这样一来进入政府内部以后,还把守了核心的位置,那我们岂不是掌握了所有公司的生杀大权?位高权重,时间久了,公司内部会不会有人变坏走向邪路?人心难测,权利容易让人变坏啊

老周开始眉头紧锁。

还有啊,如果有别家安全公司也这么做,那咱们是要竞争吗,如果大家恶意竞争,国家没被病毒木马搞坏,都被我们这些安全公司搞乱了

老周开始额头冒汗了。

就在我准备继续追问时,公司后勤保障部发来广播通知:“收到关机通知,各单位保存好工作,咱们明天再见。”

老周随即告别:“小谢啊,咱们改天再聊,我得回去保存今天的木马分析结果,拜拜”

告别了老周,我也准备撤了,今天一天也是够累的。

未完待续·······

彩蛋1

就在我准备“圆寂”的时候,公司里警报拉起:“发现有目标在关机时刻修改注册表,设置开机自启动项,请紧急处理”

彩蛋2

在遥远的Linux帝国,Web安全防护公司——WAF,此刻也拉响了警报,一个神秘数据包的到来,nginx公司上下乱作一团···

本文分享自微信公众号 - magiccodes(xl----0)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 我是一个explorer的线程

    伴随着一记电流响声,天逐渐亮了,不到一会儿太阳就升起来了,熟悉的蓝天白云和草地再次出现,今天又是繁忙的一天。

    心莱科技雪雁
  • AspNet.Core之使用CancellationToken来提高应用负载

    已经有很多文章记录了Web程序中采用异步编程的优势和.Net异步编程的用法, 异步编程虽然不能解决查询数据库的瓶颈, 但是利用线程切换,能最大限度的弹性利用工作...

    心莱科技雪雁
  • Docker最全教程之使用Tencent Hub来完成CI(十)

    在本系列教程中,笔者希望将必要的知识点围绕理论、流程(工作流程)、方法、实践来进行讲解,而不是单纯的为讲解知识点而进行讲解。也就是说,笔者希望能够让大家将理论、...

    心莱科技雪雁
  • 三分钟基础:黑客是如何偷偷在我们的网页植入广告的?

    上次讲了路由器里的广告,大家没看的可以看下哦:三分钟基础:路由器是如何偷偷植入广告的?

    帅地
  • 查看Linux各发行版本方法

    一见
  • Salesforce Spring 20' 功能:克隆具有相关记录的商机或市场活动

    技术的更迭是有加速度的,特别是Salesforce作为SaaS领域的标杆,更是保持着每年发布3次release的速度。Spring 20' 的新功能太多,打算看...

    花花绿绿红红火火
  • redis的集群搭建

    port 7000 不同文件夹改成对应的端口 cluster-enabled yes cluster-config-file nodes.conf clu...

    用户2603479
  • Redis集群环境搭建

    一个Redis集群至少需要6个节点才能保证组成完整高可用的集群。想要开启集群只需要设置以下两个参数就行:

    Java学习录
  • 二进制漏洞学习笔记

    这个程序非常简单,甚至不需要你写脚本,直接运行就能获得shell。 写这个程序的目的主要是为了使第一次接触漏洞的同学更好地理解栈溢出的原理。

    信安之路
  • Qt音视频开发47-通用视频控件

    自从视频监控系统的内核不断增加,从最初的vlc到ffmpeg然后到mpv,后面还陆续增加了海康sdk等,每次增加一个内核,整个视频监控系统就有三五个代码文件需要...

    feiyangqingyun

扫码关注云+社区

领取腾讯云代金券